Gouvernance
EUCS : une histoire sans fin qui doit (enfin) trouver un compromis
Par Thierry Derouet, publié le 16 avril 2024
Difficile de ne pas établir de lien entre l’EUCS et le récent vote de la Chambre des représentants américaine en faveur de la prorogation pour deux ans de la Section 702 de la loi sur la surveillance du renseignement étranger. Explications.
Parfois, il est utile de lever la tête du guidon. Car selon Wired, la Chambre des représentants des États-Unis a voté vendredi dernier en faveur de la prolongation du programme d’espionnage de la section 702. Vote adopté face à la résistance de 88 représentants conservateurs de l’ancien président Donald Trump qui n’avait pas hésité à « déformer les faits » pour tenter de « TUER FISA », comme ce dernier l’a exhorté dans un message publié sur son réseau Truth Social.
Rappelons que la section 702 de la loi sur la surveillance du renseignement étranger (FISA) permet au gouvernement américain de procéder à une surveillance ciblée des ressortissants étrangers vivant en dehors des États-Unis sans avoir besoin d’obtenir un mandat. Mais n’imaginons pas un instant que Donald Trump ait cherché à défendre l’industrie européenne du Cloud. Trump ayant affirmé — à maintes reprises, à tort selon CNN — que la section 702 de FISA avait été utilisée pour espionner sa campagne présidentielle de 2016.
Ce débat outre-Atlantique ne doit pas nous faire oublier que les critères de souveraineté sont devenus un enjeu majeur pour la protection des données européennes.
Chez 3DS OUTSCALE (Dassault Systèmes), David Chassan, Chief Strategy Officer, ne l’oublie pas quand il explique pourquoi son employeur a signé un plaidoyer, avec dix-sept autres fournisseurs européens, pour demander aux gouvernements d’intégrer des exigences transparentes et harmonisées au niveau d’évaluation le plus élevé du schéma EUCS.
L’EUCS doit nous protéger de la FISA
L’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) se veut la certification européenne pour les services cloud qui doit se substituer aux certifications nationales que sont SecNumCloud en France ou C5 en Allemagne. Autant dire que cette certification est des plus importantes pour les clouds européens.
L’objectif, c’est de protéger les données européennes les plus sensibles contre l’accès illégal qu’autorise de nouveau la FISA et sa fameuse section 702, laquelle permet au gouvernement américain de mettre sur écoute les communications entre Américains et étrangers. Comme le souligne Wired : « Des centaines de millions d’appels, de textes et de courriels sont interceptés par les espions du gouvernement, chaque fois avec l’“assistance forcée” des fournisseurs de communications américains. »
À LIRE AUSSI :
Il est là, il n’est plus là…
Nos exigences de souveraineté, qui avaient brièvement été placées dans une catégorie distincte « élevé+ » – alignée sur le modèle du label de sécurité français SecNumCloud – ont brutalement disparu du projet de schéma EUCS. Le niveau « élevé+ » n’avait d’autre objectif que de protéger les données européennes contre les revendications juridiques étrangères, à l’image de celles de nos alliés, en exigeant que les fournisseurs de cloud soient propriétaires majoritaires d’entreprises européennes situées dans des centres de données en Europe et qu’ils emploient des personnes dans le pays concerné. Si pour un américain, l’article 702 reste l’un des outils les plus efficaces en matière de sécurité nationale, pour un Européen, l’exigence de souveraineté de nos données doit être considérée comme un garde-fou.
Car c’est sous la pression des géants technologiques américains, de leurs associations (BSA) et de certaines manœuvres diplomatiques que l’Europe est en train de reculer sur ses exigences EUCS. Et cette situation est inacceptable, notamment aux yeux du Cigref, car elle pourrait compromettre la capacité des entreprises et des administrations publiques européennes à défendre la confidentialité et la sécurité de leurs données, les rendant vulnérables aux ingérences d’acteurs non européens comme l’a également rappelé le président du Cigref, Jean-Claude Laroche dans une lettre ouverte adressée à la présidente de la Commission européenne, Madame Ursula Von Der Leyen.
Tous nos textes sont liés
Comme souligné en Allemagne dans un article “mal” intitulé « La France plie sur la cybersécurité dans le cloud », publié par Tagesspiegel Background, le processus législatif de la loi SREN s’est déroulé parallèlement aux discussions sur l’EUCS au niveau de l’UE. La loi SREN a notamment été bloquée par l’intervention de la Commission européenne au motif de la possibilité d’exclure les fournisseurs de cloud de pays tiers du niveau de sécurité le plus élevé via la reconnaissance d’éléments inspirés par la version 3.2 du référentiel SecNumCloud de l’ANSSI. Logique, dès lors que le sujet bloque pour l’EUCS.
Toujours selon notre source d’outre Rhin, il se pourrait que le gouvernement français se soit mis d’accord sur une réglementation numérique propre au pays, dans laquelle des exigences élevées en matière de souveraineté auraient été fixées. Le directeur de l’agence française de cybersécurité (ANSSI) aurait même déclaré qu’il pourrait envisager de maintenir la certification SecNumCloud au niveau national, indépendamment de la réglementation européenne.
Il en découle un sentiment de gâchis partagé par William Méauzoone, Directeur Général et fondateur de Leviia, (spécialiste français du stockage et partage de fichiers en ligne) qui regrette que « nous avancions d’un côté avec la Loi SREN » mais qu’en même temps « la certification EUCS puisse finalement faire l’impasse sur les exigences de souveraineté… ».
Comme si en Europe, les partisans d’une approche “UE d’abord” ne pouvaient pas s’imposer. Sébastien Lescop, directeur général de Cloud Temple, aura remarqué que dans la SREN, « le fameux article 10 bis A, âprement discuté au fil des mois, fixe – dans cette version finale de la loi – l’obligation pour les administrations et les opérateurs de l’État d’héberger leurs données sensibles sur SecNumCloud ». Et de constater qu’enfin, le cas particulier du GIP Health Data Hub a été « pris en compte lors des travaux de la commission mixte paritaire et intégrée au sein de la loi ». Mais est-ce un bien contre un mal ?
La loi SREN, une loi pour s’aligner avec toutes les réglementations
Depuis le début, le projet de loi SREN a été conçu pour s’aligner avec les réglementations européennes, notamment le Digital Market Act (DMA) et le Digital Services Act (DSA). L’interopérabilité et la conformité avec le droit européen ont été des points clés dans l’élaboration de ce texte. Toutefois, Jean-Noël Barrot, ancien ministre du Numérique, avait tenu à élargir les débats pour aussi bien protéger les citoyens français avec des mesures couvrant un large éventail de problématiques, de la lutte contre les arnaques en ligne au cyberharcèlement, en passant par la régulation de l’accès des mineurs aux contenus pornographiques et la mise en place d’une identité numérique. Mais aussi pour protéger les professionnels d’un certain nombre d’abus avec l’instauration d’un plafond pour la durée d’octroi des crédits cloud ou la facturation abusive des frais de transfert de données.
Cependant, Jean Noël Barrot avait pris soin d’écarter le cas délicat des données de santé pour que leur sort ne soit évoqué qu’à l’occasion du projet de Schéma de Certification des Services Cloud de l’Union européenne (EUCS). Quitte à chagriner certains membres de son propre parti politique. Mais il s’agissait avant tout d’être respectueux du débat entre Européens.
Des investissements européens mis à mal
La suppression de l’exigence « élevé+ » du modèle du label de sécurité français SecNumCloud risque d’empêcher l’harmonisation du marché européen et de transférer la responsabilité aux autorités nationales. Les conséquences seraient lourdes et pourraient gravement compromettre la viabilité des solutions souveraines de cloud computing en Europe, dont beaucoup sont encore en développement ou déjà disponibles, comme le soulignent les dix-huit signataires de la lettre portée par la filiale Cloud de Dassault Systèmes. Après tout, il ne s’agit nullement de bouter hors d’europe les hyperscalaires américains comme chinois, mais de s’assurer une part d’un marché où souveraineté et sécurité n’ont plus à être discutées.
Des exigences en option ?
Selon Tagesspiegel Background, les exigences strictes de souveraineté n’ont pas (pas encore?) totalement disparu du projet. Elles subsisteraient en partie dans les nouvelles exigences de transparence, qui comprennent la nécessité de fournir des informations sur le lieu de stockage et de traitement des données des clients et les lois applicables, ainsi que des détails sur les employés des fournisseurs de services cloud et les processus automatisés et manuels impliqués dans la gestion et l’exploitation du service. Toutefois, l’obligation de transparence ne fait pas l’exigence. Et c’est bien là tout le problème. La transparence arrange bien les hyperscalers américains car elle évite l’exigence qui les exclue.
Il est temps de cesser d’hésiter et de prendre résolument en main notre destin européen. Nous devons affirmer notre indépendance pour ne pas compromettre ce qui a été entrepris jusqu’à présent. Le bon sens doit prévaloir pour assurer notre souveraineté numérique. Il y a urgence à y aller FIS(S)A.
À LIRE AUSSI :
(1) – A1, Airbus, Aruba S.p.A., Capgemini, Deutsche Telekom, EDF, Exoscale, Gigas, Ionos SE, OpenNebula Systems, Orange, OVHcloud, Proximus, Eutelsat Group, Sopra Steria, StackIT et TIM
